Σήμερα θα δούμε: Οι αληθινοί γνώστες της μουσικής γνωρίζουν ότι για την ποιότητα...
Το Kaspersky Internet Security προστατεύει τον υπολογιστή σας από επιθέσεις δικτύου.
Επίθεση δικτύουείναι μια εισβολή στο λειτουργικό σύστημα ενός απομακρυσμένου υπολογιστή. Οι εισβολείς εξαπολύουν επιθέσεις δικτύου για να πάρουν τον έλεγχο ενός λειτουργικού συστήματος, να προκαλέσουν άρνηση υπηρεσίας ή να αποκτήσουν πρόσβαση σε προστατευμένες πληροφορίες.
Οι επιθέσεις δικτύου είναι κακόβουλες ενέργειες που εκτελούνται από τους ίδιους τους εισβολείς (όπως η σάρωση θυρών, η εικασία κωδικού πρόσβασης), καθώς και ενέργειες που εκτελούνται από κακόβουλα προγράμματα που είναι εγκατεστημένα στον υπολογιστή που δέχεται επίθεση (όπως η μεταφορά προστατευμένων πληροφοριών στον εισβολέα). Το κακόβουλο λογισμικό που εμπλέκεται σε επιθέσεις δικτύου περιλαμβάνει ορισμένους δούρειους ίππους, εργαλεία επίθεσης DoS, κακόβουλα σενάρια και σκουλήκια δικτύου.
Οι επιθέσεις δικτύου μπορούν να χωριστούν στους ακόλουθους τύπους:
- Σάρωση θύρας. Αυτός ο τύπος επίθεσης δικτύου είναι συνήθως ένα προπαρασκευαστικό στάδιο για μια πιο επικίνδυνη επίθεση δικτύου. Ο εισβολέας σαρώνει τις θύρες UDP και TCP που χρησιμοποιούνται από τις υπηρεσίες δικτύου στον υπολογιστή-στόχο και προσδιορίζει την ευπάθεια του υπολογιστή-στόχου σε πιο επικίνδυνους τύπους επιθέσεων δικτύου. Η σάρωση θύρας επιτρέπει επίσης σε έναν εισβολέα να προσδιορίσει το λειτουργικό σύστημα στον υπολογιστή-στόχο και να επιλέξει επιθέσεις δικτύου κατάλληλες για αυτόν.
- Επιθέσεις DoS, ή επιθέσεις δικτύου που προκαλούν άρνηση υπηρεσίας. Πρόκειται για επιθέσεις δικτύου, ως αποτέλεσμα των οποίων το λειτουργικό σύστημα που δέχεται επίθεση καθίσταται ασταθές ή εντελώς μη λειτουργικό.
Υπάρχουν οι ακόλουθοι κύριοι τύποι επιθέσεων DoS:
- Αποστολή ειδικά κατασκευασμένων πακέτων δικτύου σε έναν απομακρυσμένο υπολογιστή που δεν αναμένονται από αυτόν τον υπολογιστή, προκαλώντας δυσλειτουργία ή διακοπή του λειτουργικού συστήματος.
- Αποστολή μεγάλου αριθμού πακέτων δικτύου σε έναν απομακρυσμένο υπολογιστή σε σύντομο χρονικό διάστημα. Όλοι οι πόροι του υπολογιστή που δέχεται επίθεση χρησιμοποιούνται για την επεξεργασία πακέτων δικτύου που αποστέλλονται από τον εισβολέα, γι' αυτό και ο υπολογιστής σταματά να εκτελεί τις λειτουργίες του.
- Δικτυακές επιθέσεις-εισβολές. Πρόκειται για επιθέσεις δικτύου των οποίων ο στόχος είναι να «πειρατήσουν» το λειτουργικό σύστημα του υπολογιστή που δέχεται επίθεση. Αυτός είναι ο πιο επικίνδυνος τύπος επίθεσης δικτύου, αφού εάν είναι επιτυχής, το λειτουργικό σύστημα τίθεται πλήρως υπό τον έλεγχο του εισβολέα.
Αυτός ο τύπος επίθεσης δικτύου χρησιμοποιείται σε περιπτώσεις όπου ένας εισβολέας χρειάζεται να λάβει εμπιστευτικά δεδομένα από έναν απομακρυσμένο υπολογιστή (για παράδειγμα, αριθμούς τραπεζικών καρτών ή κωδικούς πρόσβασης) ή να χρησιμοποιήσει τον απομακρυσμένο υπολογιστή για δικούς του σκοπούς (για παράδειγμα, για να επιτεθεί σε άλλους υπολογιστές από αυτόν υπολογιστή) εν αγνοία του χρήστη.
Μπορείτε επίσης να ενεργοποιήσετε την προστασία από επιθέσεις δικτύου στο Κέντρο προστασίας. Η απενεργοποίηση της προστασίας ή των στοιχείων προστασίας του υπολογιστή σας αυξάνει σημαντικά τον κίνδυνο μόλυνσης του υπολογιστή σας, γι' αυτό και εμφανίζονται πληροφορίες σχετικά με την απενεργοποίηση της προστασίας στο Κέντρο προστασίας.
Σημαντικό: Εάν έχετε απενεργοποιήσει το Network Attack Protection, τότε μετά την επανεκκίνηση του Kaspersky Internet Security ή την επανεκκίνηση του λειτουργικού συστήματος, δεν θα ενεργοποιηθεί αυτόματα και θα πρέπει να το ενεργοποιήσετε χειροκίνητα.
Όταν εντοπίζεται επικίνδυνη δραστηριότητα δικτύου, το Kaspersky Internet Security προσθέτει αυτόματα τη διεύθυνση IP του επιτιθέμενου υπολογιστή στη λίστα των αποκλεισμένων υπολογιστών, εάν αυτός ο υπολογιστής δεν προστεθεί στη λίστα των αξιόπιστων υπολογιστών.
Θα ανοίξει το παράθυρο ρυθμίσεων του προγράμματος.
Θα ανοίξει ένα παράθυρο με μια λίστα αξιόπιστων υπολογιστών και μια λίστα αποκλεισμένων υπολογιστών.
Θα ανοίξει ένα παράθυρο επιβεβαίωσης.
- Εάν θέλετε να ξεκλειδώσετε τον υπολογιστή σας, κάντε κλικ στο κουμπί Ξεκλείδωμα.
Το Kaspersky Internet Security ξεμπλοκάρει τη διεύθυνση IP.
- Εάν θέλετε το Kaspersky Internet Security να μην αποκλείει ποτέ την επιλεγμένη διεύθυνση IP, κάντε κλικ στο κουμπί Κατάργηση αποκλεισμού και προσθήκη στις εξαιρέσεις.
Το Kaspersky Internet Security θα ξεμπλοκάρει τη διεύθυνση IP και θα την προσθέσει στη λίστα των αξιόπιστων υπολογιστών.
Μπορείτε να δημιουργήσετε μια λίστα αξιόπιστων υπολογιστών. Το Kaspersky Internet Security δεν αποκλείει αυτόματα τις διευθύνσεις IP αυτών των υπολογιστών όταν εντοπίζει επικίνδυνη δραστηριότητα δικτύου που προέρχεται από αυτούς.
Όταν εντοπίζεται μια επίθεση δικτύου, το Kaspersky Internet Security αποθηκεύει πληροφορίες σχετικά με αυτήν σε μια αναφορά.
Θα ανοίξει το παράθυρο αναφορών Kaspersky Internet Security.
Σημείωση: Εάν το στοιχείο Network Attack Protection έχει ολοκληρώσει ένα σφάλμα, μπορείτε να προβάλετε την αναφορά και να προσπαθήσετε να επανεκκινήσετε το στοιχείο. Εάν δεν μπορείτε να επιλύσετε το πρόβλημα, επικοινωνήστε με την Τεχνική Υποστήριξη.
Η διάλεξη συζητά ορισμένους τύπους επιθέσεων σε πόρους πληροφοριών επιχείρησης που εκμεταλλεύονται ορισμένα τρωτά σημεία. Πολύ συχνά, το σημείο εισόδου για μια επίθεση είναι ένας δημόσιος ιστότοπος στο Διαδίκτυο, μέσω του οποίου ένας εισβολέας μπορεί να αποκτήσει πρόσβαση σε περιοχές του ιστότοπου που προορίζονται για περιορισμένο αριθμό ατόμων και σε ευαίσθητα δεδομένα.
Η εικασία είναι μια αυτοματοποιημένη διαδικασία δοκιμής και σφάλματος που χρησιμοποιείται για να μαντέψει ένα όνομα χρήστη, κωδικό πρόσβασης, αριθμό πιστωτικής κάρτας, κλειδί κρυπτογράφησης κ.λπ. Υπάρχουν δύο τύποι επιλογής: άμεση και αντίστροφη. Η άμεση εικασία χρησιμοποιεί διαφορετικές επιλογές κωδικού πρόσβασης για ένα όνομα χρήστη. Όταν αντιστρέφεται, δοκιμάζονται διαφορετικά ονόματα χρήστη, αλλά ο κωδικός πρόσβασης παραμένει αμετάβλητος.
Η παραδοσιακή μέθοδος καταπολέμησης της εικασίας κωδικού πρόσβασης είναι ο περιορισμός του αριθμού των εσφαλμένων καταχωρίσεων κωδικού πρόσβασης. Υπάρχουν πολλές επιλογές για την εφαρμογή αυτής της ιδέας, από την απλούστερη - έναν στατικό περιορισμό, για παράδειγμα, όχι περισσότερα από τρία σφάλματα, έως πολύπλοκα υλοποιημένα δυναμικά, με αυξανόμενη περίοδο απαγόρευσης μεταξύ των αιτημάτων.
Μη ασφαλής ανάκτηση κωδικού πρόσβασης. Αυτή η ευπάθεια εμφανίζεται όταν ο διακομιστής Web επιτρέπει σε έναν εισβολέα να αποκτήσει, να τροποποιήσει ή να ανακτήσει τους κωδικούς πρόσβασης άλλων χρηστών χωρίς εξουσιοδότηση. Για παράδειγμα, πολλοί διακομιστές απαιτούν από τον χρήστη να παρέχει το email του σε συνδυασμό με τη διεύθυνση κατοικίας και τον αριθμό τηλεφώνου του. Αυτές οι πληροφορίες μπορούν να ληφθούν εύκολα από διαδικτυακούς καταλόγους. Ως αποτέλεσμα, τα δεδομένα που χρησιμοποιούνται για την επαλήθευση δεν είναι μεγάλο μυστικό. Επιπλέον, αυτές οι πληροφορίες θα μπορούσαν να ληφθούν από έναν εισβολέα χρησιμοποιώντας άλλες μεθόδους, όπως δέσμες ενεργειών μεταξύ τοποθεσιών ή phishing.
Η πιο αποτελεσματική λύση είναι η εξής: ο χρήστης κάνει κλικ στο κουμπί «Ανάκτηση κωδικού πρόσβασης» και μεταφέρεται σε μια σελίδα όπου του ζητείται η σύνδεσή του στο σύστημα και στο γραμματοκιβώτιο που έχει καθοριστεί κατά την εγγραφή. Στη συνέχεια, αποστέλλεται στο γραμματοκιβώτιό σας μια ειδοποίηση σχετικά με ένα αίτημα ανάκτησης κωδικού πρόσβασης και ένας μοναδικός ψευδοτυχαία δημιουργημένος σύνδεσμος προς τη σελίδα αλλαγής κωδικού πρόσβασης. Σε αυτήν την περίπτωση, μόνο ο κάτοχος του γραμματοκιβωτίου στο οποίο είναι εγγεγραμμένος ο λογαριασμός μπορεί να αλλάξει τον κωδικό πρόσβασης.
Ανεπαρκής εξουσιοδότηση. Εμφανίζεται όταν ένας διακομιστής Web επιτρέπει σε έναν εισβολέα να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή λειτουργίες που θα πρέπει να περιοριστούν. Ακριβώς επειδή ένας χρήστης έχει πιστοποιηθεί δεν σημαίνει ότι πρέπει να έχει πρόσβαση σε όλες τις δυνατότητες και τα περιεχόμενα του διακομιστή.
Για παράδειγμα, ορισμένοι διακομιστές, μετά τον έλεγχο ταυτότητας, αποθηκεύουν το αναγνωριστικό "ρόλου" του χρήστη εντός της εφαρμογής Ιστού σε cookie ή κρυφά πεδία. Εάν ο έλεγχος πρόσβασης βασίζεται στον έλεγχο αυτής της παραμέτρου χωρίς επαλήθευση της ιδιότητας μέλους ρόλου σε κάθε αίτημα, ένας εισβολέας μπορεί να κλιμακώσει τα προνόμιά του απλώς τροποποιώντας την τιμή του cookie. Μέθοδοι αγώνα - σαφής διάκριση μεταξύ των δικαιωμάτων των χρηστών και των δυνατοτήτων τους.
Χωρίς χρονικό όριο συνεδρίας. Εάν το αναγνωριστικό περιόδου σύνδεσης ή τα διαπιστευτήρια δεν έχουν χρονικό όριο λήξης ή η τιμή του χρονικού ορίου τους είναι πολύ υψηλή, ένας εισβολέας μπορεί να χρησιμοποιήσει τα παλιά διαπιστευτήρια σύνδεσης.
Για παράδειγμα, όταν χρησιμοποιείτε έναν δημόσιο υπολογιστή, όπου πολλοί χρήστες έχουν απεριόριστη φυσική πρόσβαση στο μηχάνημα, η απουσία χρονικού ορίου περιόδου λειτουργίας επιτρέπει σε έναν εισβολέα να προβάλλει σελίδες που επισκέπτεται άλλος χρήστης. Η μέθοδος καταπολέμησης αυτού είναι ο περιορισμός του χρονικού ορίου περιόδου λειτουργίας.
Διασταυρούμενη δέσμη ενεργειών (XSS). Η παρουσία μιας ευπάθειας XSS επιτρέπει σε έναν εισβολέα να στείλει εκτελέσιμο κώδικα στον διακομιστή, ο οποίος θα ανακατευθυνθεί στο πρόγραμμα περιήγησης του χρήστη. Αυτός ο κώδικας είναι συνήθως γραμμένος σε HTML/JavaScript, αλλά μπορούν να χρησιμοποιηθούν VBScript, ActiveX, Java, Flash ή άλλες τεχνολογίες που υποστηρίζονται από πρόγραμμα περιήγησης. Ο μεταδιδόμενος κώδικας εκτελείται στο πλαίσιο ασφαλείας (ή ζώνη ασφαλείας) του ευάλωτου διακομιστή. Χρησιμοποιώντας αυτά τα προνόμια, ο κώδικας μπορεί να διαβάζει, να τροποποιεί ή να μεταδίδει ευαίσθητα δεδομένα που είναι προσβάσιμα μέσω του προγράμματος περιήγησης.
Υπάρχουν δύο τύποι επιθέσεων δέσμης ενεργειών μεταξύ τοποθεσιών: μόνιμος(αποθηκευμένο) και άστατος(αντανακλάται). Η κύρια διαφορά μεταξύ τους είναι ότι στην ανακλώμενη έκδοση, ο κώδικας μεταφέρεται στον διακομιστή και επιστρέφεται στον πελάτη μέσα σε ένα αίτημα HTTP και στην αποθηκευμένη έκδοση, σε διαφορετικές. Η εκτέλεση μιας μη επίμονης επίθεσης απαιτεί από τον χρήστη να ακολουθήσει έναν σύνδεσμο που δημιουργήθηκε από τον εισβολέα (ο σύνδεσμος μπορεί να σταλεί μέσω email, ICQ, κ.λπ.). Καθώς ο ιστότοπος φορτώνει, ο κώδικας που είναι ενσωματωμένος στη διεύθυνση URL ή στις κεφαλίδες αιτημάτων θα μεταβιβαστεί στον πελάτη και θα εκτελεστεί στο πρόγραμμα περιήγησής του. Ένας αποθηκευμένος τύπος ευπάθειας εμφανίζεται όταν ο κώδικας μεταφέρεται σε έναν διακομιστή και αποθηκεύεται σε αυτόν για μια συγκεκριμένη χρονική περίοδο. Οι πιο δημοφιλείς στόχοι επιθέσεων σε αυτήν την περίπτωση είναι τα φόρουμ, η αλληλογραφία μέσω web και οι συνομιλίες. Για να επιτεθεί, ο χρήστης δεν χρειάζεται να ακολουθήσει τον σύνδεσμο αρκεί να επισκεφτεί τον ευάλωτο ιστότοπο.
Μπορείτε να ελέγξετε τον ιστότοπό σας για ευπάθειες XSS περνώντας κώδικα HTML που περιέχει JavaScript σε οποιοδήποτε πεδίο εισαγωγής. Για παράδειγμα:
">ειδοποίηση()
Εάν εμφανιστεί ένα πλαίσιο διαλόγου, τότε έχει εκτελεστεί η ειδοποίηση () JavaScript, που σημαίνει ότι μπορεί να εκτελεστεί οποιοσδήποτε κακόβουλος κώδικας.
Αυτή τη στιγμή, ο πιο συνηθισμένος τύπος επίθεσης, λόγω της αυξανόμενης δημοτικότητας του Web 2.0, το Διαδίκτυο είναι γεμάτο με διάφορες μορφές ανατροφοδότησης, δυστυχώς, πολλές από αυτές δεν φιλτράρονται σωστά, φόρμες στις οποίες ορισμένες ετικέτες ή οποιεσδήποτε δομές μορφοποίησης είναι επιτρέπονται είναι ιδιαίτερα δύσκολο να προστατευτούν Το XSS μπορεί να αποτραπεί μόνο με προσεκτική ανάλυση και φιλτράρισμα των δεδομένων που λαμβάνονται στα αιτήματα.
Εισαγωγή εντολών SQL (SQL Injection). Αυτές οι επιθέσεις στοχεύουν σε διακομιστές Ιστού που δημιουργούν ερωτήματα SQL σε διακομιστές DBMS με βάση τα δεδομένα των χρηστών. Εάν οι πληροφορίες που λαμβάνονται από τον πελάτη δεν επαληθεύονται σωστά, ο εισβολέας μπορεί να τροποποιήσει το ερώτημα διακομιστή SQL που αποστέλλεται από την εφαρμογή. Το αίτημα θα εκτελεστεί με το ίδιο επίπεδο δικαιωμάτων με το στοιχείο της εφαρμογής που εκτελεί το αίτημα (διακομιστής DBMS, διακομιστής Web, κ.λπ.). Ως αποτέλεσμα, ένας εισβολέας μπορεί να αποκτήσει τον πλήρη έλεγχο του διακομιστή DBMS και ακόμη και του λειτουργικού του συστήματος.
Η πιθανότητα επίθεσης προκύπτει όταν ένα ερώτημα SQL σε μια βάση δεδομένων σχηματίζεται στον κώδικα μιας ιστοσελίδας προσθέτοντας το κύριο μέρος και την τιμή που παρέχεται από τον χρήστη. Για παράδειγμα, ο κώδικας της ιστοσελίδας περιέχει τον ακόλουθο κώδικα:
"Επιλέξτε * από τους μαθητές όπου firstneme = " + όνομα + "; "
Στην τυπική περίπτωση χρήσης, το ερώτημα πρέπει να επιστρέψει όλες τις πληροφορίες από τον πίνακα Students για τους μαθητές με το όνομα αποθηκευμένο στη μεταβλητή name. Τι συμβαίνει όμως εάν, αντί για όνομα, η μεταβλητή name περιέχει ένα ερώτημα SQL που τροποποιεί το σχήμα δεδομένων και βάσης δεδομένων;
Ένα άλλο παράδειγμα από τον τομέα της αυτόματης αναγνώρισης πινακίδων κυκλοφορίας:
Τα μέσα για την καταπολέμηση αυτού είναι το κατάλληλο φιλτράρισμα των ληφθέντων δεδομένων, η διαφοροποίηση των δικαιωμάτων πρόσβασης στη βάση δεδομένων.
Άρνηση υπηρεσίας (DoS). Αυτή η κατηγορία επιθέσεων στοχεύει στη διακοπή της διαθεσιμότητας του διακομιστή Web. Συνήθως, οι επιθέσεις άρνησης υπηρεσίας πραγματοποιούνται στο επίπεδο δικτύου, αλλά μπορούν επίσης να κατευθυνθούν στο επίπεδο εφαρμογής. Χρησιμοποιώντας τις λειτουργίες μιας εφαρμογής Ιστού, ένας εισβολέας μπορεί να εξαντλήσει κρίσιμους πόρους του συστήματος ή να εκμεταλλευτεί μια ευπάθεια που οδηγεί στον τερματισμό της λειτουργίας του συστήματος. Συνήθως, οι επιθέσεις DoS στοχεύουν στην εξάντληση κρίσιμων πόρων του συστήματος, όπως η υπολογιστική ισχύς, η μνήμη RAM, ο χώρος στο δίσκο ή το εύρος ζώνης επικοινωνίας. Εάν κάποιος από τους πόρους φτάσει στο μέγιστο φορτίο, ολόκληρη η εφαρμογή δεν θα είναι διαθέσιμη. Οι επιθέσεις μπορούν να κατευθυνθούν σε οποιοδήποτε από τα στοιχεία της εφαρμογής Web, για παράδειγμα, στον διακομιστή DBMS, στον διακομιστή ελέγχου ταυτότητας κ.
Τα μέσα προστασίας είναι η βελτιστοποίηση κώδικα και η εισαγωγή περιορισμών στην ποσότητα των δεδομένων που αποστέλλονται ανά μονάδα χρόνου.
Προσθήκη. βιβλιογραφία: http://www.intuit.ru/department/internet/mwebtech/
Διάλεξη 33 Τύποι και τύποι επιθέσεων δικτύου
Διάλεξη 33
Θέμα: Τύποι και τύποι επιθέσεων δικτύου
Μια επίθεση απομακρυσμένου δικτύου είναι μια καταστροφική επίδραση πληροφοριών σε ένα κατανεμημένο υπολογιστικό σύστημα, που πραγματοποιείται μέσω προγραμματισμού μέσω καναλιών επικοινωνίας.
Εισαγωγή
Για την οργάνωση των επικοινωνιών σε ένα ετερογενές περιβάλλον δικτύου, χρησιμοποιείται ένα σύνολο πρωτοκόλλων TCP/IP, διασφαλίζοντας τη συμβατότητα μεταξύ υπολογιστών διαφορετικών τύπων. Αυτό το σύνολο πρωτοκόλλων έχει κερδίσει δημοτικότητα λόγω της συμβατότητάς του και της παροχής πρόσβασης στους πόρους του παγκόσμιου Διαδικτύου και έχει γίνει πρότυπο για την εργασία με το Διαδίκτυο. Ωστόσο, η πανταχού παρουσία της στοίβας πρωτοκόλλου TCP/IP έχει επίσης αποκαλύψει τις αδυναμίες της. Ιδιαίτερα λόγω αυτού, τα κατανεμημένα συστήματα είναι επιρρεπή σε απομακρυσμένες επιθέσεις, καθώς τα στοιχεία τους συνήθως χρησιμοποιούν ανοιχτά κανάλια μετάδοσης δεδομένων και ένας εισβολέας μπορεί όχι μόνο να κρυφακούει παθητικά τις μεταδιδόμενες πληροφορίες, αλλά και να τροποποιεί τη μεταδιδόμενη κίνηση.
Η δυσκολία ανίχνευσης μιας απομακρυσμένης επίθεσης και η σχετική ευκολία υλοποίησης (λόγω της περιττής λειτουργικότητας των σύγχρονων συστημάτων) τοποθετεί αυτό το είδος παράνομης δράσης στην πρώτη θέση όσον αφορά τον βαθμό κινδύνου και αποτρέπει την έγκαιρη απάντηση στην απειλή. αποτέλεσμα του οποίου ο επιτιθέμενος αυξάνει τις πιθανότητες επιτυχούς υλοποίησης της επίθεσης.
Ταξινόμηση επιθέσεων
Από τη φύση της πρόσκρουσης
Παθητικός
Ενεργός
Η παθητική επίδραση σε ένα κατανεμημένο υπολογιστικό σύστημα (DCS) είναι κάποια επίδραση που δεν επηρεάζει άμεσα τη λειτουργία του συστήματος, αλλά ταυτόχρονα μπορεί να παραβιάζει την πολιτική ασφαλείας του. Η έλλειψη άμεσης επιρροής στη λειτουργία του RVS οδηγεί ακριβώς στο γεγονός ότι η παθητική απομακρυσμένη επιρροή (RPI) είναι δύσκολο να εντοπιστεί. Ένα πιθανό παράδειγμα ενός τυπικού PUV σε ένα DCS είναι η ακρόαση ενός καναλιού επικοινωνίας σε ένα δίκτυο.
Ενεργός αντίκτυπος στο DCS - ένας αντίκτυπος που έχει άμεσο αντίκτυπο στη λειτουργία του ίδιου του συστήματος (βλάβη λειτουργικότητας, αλλαγή στη διαμόρφωση DCS, κ.λπ.), που παραβιάζει την πολιτική ασφαλείας που έχει υιοθετηθεί σε αυτό. Σχεδόν όλοι οι τύποι απομακρυσμένων επιθέσεων είναι ενεργές επιρροές. Αυτό οφείλεται στο γεγονός ότι η ίδια η φύση της επιβλαβούς επίδρασης περιλαμβάνει μια ενεργή ουσία. Η σαφής διαφορά μεταξύ ενεργητικής και παθητικής επιρροής είναι η θεμελιώδης δυνατότητα ανίχνευσης της, αφού ως αποτέλεσμα της εφαρμογής της συμβαίνουν κάποιες αλλαγές στο σύστημα. Με παθητική επιρροή, δεν παραμένουν απολύτως ίχνη (λόγω του γεγονότος ότι ο εισβολέας βλέπει το μήνυμα κάποιου άλλου στο σύστημα, τίποτα δεν θα αλλάξει την ίδια στιγμή).
Με σκοπό επιρροής
Παραβίαση της λειτουργίας του συστήματος (πρόσβαση στο σύστημα)
Παραβίαση της ακεραιότητας των πόρων πληροφοριών (IR)
Παραβίαση του απορρήτου IR
Αυτό το χαρακτηριστικό, με το οποίο γίνεται η ταξινόμηση, είναι ουσιαστικά μια άμεση προβολή τριών βασικών τύπων απειλών - άρνηση υπηρεσίας, αποκάλυψη και παραβίαση της ακεραιότητας.
Ο κύριος στόχος που επιδιώκεται σχεδόν σε κάθε επίθεση είναι η απόκτηση μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες. Υπάρχουν δύο βασικές επιλογές για τη λήψη πληροφοριών: η παραμόρφωση και η υποκλοπή. Η επιλογή υποκλοπής πληροφοριών σημαίνει απόκτηση πρόσβασης σε αυτές χωρίς τη δυνατότητα αλλαγής τους. Συνεπώς, η υποκλοπή πληροφοριών οδηγεί σε παραβίαση του απορρήτου τους. Η ακρόαση ενός καναλιού σε ένα δίκτυο είναι ένα παράδειγμα υποκλοπής πληροφοριών. Στην περίπτωση αυτή, υπάρχει παράνομη πρόσβαση σε πληροφορίες χωρίς πιθανές επιλογές αντικατάστασής τους. Είναι επίσης προφανές ότι η παραβίαση του απορρήτου των πληροφοριών αναφέρεται σε παθητικές επιρροές.
Η ικανότητα αντικατάστασης πληροφοριών πρέπει να νοείται είτε ως πλήρης έλεγχος της ροής πληροφοριών μεταξύ αντικειμένων του συστήματος είτε ως δυνατότητα μετάδοσης διαφόρων μηνυμάτων για λογαριασμό κάποιου άλλου. Επομένως, είναι σαφές ότι η υποκατάσταση πληροφοριών οδηγεί σε παραβίαση της ακεραιότητάς τους. Τέτοια καταστροφική επιρροή πληροφοριών είναι χαρακτηριστικό παράδειγμα ενεργητικής επιρροής. Ένα παράδειγμα απομακρυσμένης επίθεσης που έχει σχεδιαστεί για να παραβιάζει την ακεραιότητα των πληροφοριών είναι η απομακρυσμένη επίθεση "False RVS object" (RA).
Με βάση την παρουσία ανατροφοδότησης από το αντικείμενο επίθεσης
Με ανατροφοδότηση
Χωρίς σχόλια (επίθεση μονής κατεύθυνσης)
Ο εισβολέας στέλνει κάποια αιτήματα στο αντικείμενο που δέχεται επίθεση, στα οποία αναμένει να λάβει απάντηση. Κατά συνέπεια, εμφανίζεται ανάδραση μεταξύ του εισβολέα και του επιτιθέμενου, επιτρέποντας στον πρώτο να ανταποκριθεί επαρκώς σε κάθε είδους αλλαγές στο αντικείμενο επίθεσης. Αυτή είναι η ουσία μιας απομακρυσμένης επίθεσης, που πραγματοποιείται παρουσία ανατροφοδότησης από το επιτιθέμενο αντικείμενο. Τέτοιες επιθέσεις είναι πιο χαρακτηριστικές για το RVS.
Οι επιθέσεις ανοιχτού βρόχου χαρακτηρίζονται από το γεγονός ότι δεν χρειάζεται να αντιδρούν σε αλλαγές στο αντικείμενο που επιτίθεται. Τέτοιες επιθέσεις συνήθως πραγματοποιούνται με την αποστολή μεμονωμένων αιτημάτων στο αντικείμενο που δέχεται επίθεση. Ο εισβολέας δεν χρειάζεται απαντήσεις σε αυτά τα αιτήματα. Τέτοια UA μπορούν επίσης να ονομαστούν UA μονής κατεύθυνσης. Ένα παράδειγμα μονοκατευθυντικών επιθέσεων είναι μια τυπική επίθεση DoS.
Σύμφωνα με την προϋπόθεση της έναρξης της κρούσης
Η απομακρυσμένη επιρροή, όπως και κάθε άλλη, μπορεί να αρχίσει να λαμβάνει χώρα μόνο υπό ορισμένες συνθήκες. Υπάρχουν τρεις τύποι τέτοιων επιθέσεων υπό όρους στο RVS:
Επίθεση κατόπιν αιτήματος από το αντικείμενο επίθεσης
Επίθεση με την εμφάνιση ενός αναμενόμενου συμβάντος στο αντικείμενο επίθεσης
Επίθεση χωρίς όρους
Ο αντίκτυπος από τον εισβολέα θα ξεκινήσει με την προϋπόθεση ότι ο πιθανός στόχος της επίθεσης μεταδίδει ένα αίτημα συγκεκριμένου τύπου. Μια τέτοια επίθεση μπορεί να ονομαστεί επίθεση κατόπιν αιτήματος από το αντικείμενο επίθεσης. Αυτός ο τύπος UA είναι πιο τυπικός για RVS. Ένα παράδειγμα τέτοιων αιτημάτων στο Διαδίκτυο είναι τα αιτήματα DNS και ARP και στο Novell NetWare - ένα αίτημα SAP.
Επίθεση κατά την εμφάνιση ενός αναμενόμενου συμβάντος στο αντικείμενο επίθεσης. Ο εισβολέας παρακολουθεί συνεχώς την κατάσταση του λειτουργικού συστήματος του απομακρυσμένου στόχου της επίθεσης και αρχίζει να επηρεάζει όταν συμβαίνει ένα συγκεκριμένο γεγονός σε αυτό το σύστημα. Το ίδιο το αντικείμενο επίθεσης είναι ο εμπνευστής της επίθεσης. Ένα παράδειγμα τέτοιου συμβάντος θα ήταν η διακοπή της συνεδρίας ενός χρήστη με τον διακομιστή χωρίς την έκδοση της εντολής LOGOUT στο Novell NetWare.
Μια άνευ όρων επίθεση πραγματοποιείται αμέσως και ανεξάρτητα από την κατάσταση του λειτουργικού συστήματος και του αντικειμένου που επιτίθεται. Επομένως, ο εισβολέας είναι ο εμπνευστής της επίθεσης σε αυτήν την περίπτωση.
Εάν διαταραχθεί η κανονική λειτουργία του συστήματος, επιδιώκονται άλλοι στόχοι και ο εισβολέας δεν αναμένεται να αποκτήσει παράνομη πρόσβαση στα δεδομένα. Ο στόχος του είναι να απενεργοποιήσει το λειτουργικό σύστημα στο αντικείμενο επίθεσης και να καταστήσει αδύνατη την πρόσβαση άλλων αντικειμένων συστήματος στους πόρους αυτού του αντικειμένου. Ένα παράδειγμα επίθεσης αυτού του τύπου είναι μια επίθεση DoS.
Ανά τοποθεσία του υποκειμένου της επίθεσης σε σχέση με το αντικείμενο της επίθεσης
Ενδοτμηματικά
Διατμηματικά
Μερικοί ορισμοί:
Η πηγή της επίθεσης (το θέμα της επίθεσης) είναι το πρόγραμμα (πιθανώς ο χειριστής) που οδηγεί την επίθεση και έχει άμεσο αντίκτυπο.
Κεντρικός υπολογιστής - ένας υπολογιστής που αποτελεί στοιχείο του δικτύου.
Ο δρομολογητής είναι μια συσκευή που δρομολογεί πακέτα σε ένα δίκτυο.
Ένα υποδίκτυο είναι μια ομάδα κεντρικών υπολογιστών που αποτελούν μέρος ενός παγκόσμιου δικτύου, που διαφέρουν στο ότι ο δρομολογητής εκχωρεί τον ίδιο αριθμό υποδικτύου για αυτούς. Μπορούμε επίσης να πούμε ότι ένα υποδίκτυο είναι μια λογική συσχέτιση κεντρικών υπολογιστών μέσω ενός δρομολογητή. Οι κεντρικοί υπολογιστές εντός του ίδιου υποδικτύου μπορούν να επικοινωνούν απευθείας μεταξύ τους χωρίς τη χρήση δρομολογητή.
Ένα τμήμα δικτύου είναι ένας συνδυασμός κεντρικών υπολογιστών σε φυσικό επίπεδο.
Από την άποψη μιας απομακρυσμένης επίθεσης, η σχετική θέση του υποκειμένου και του αντικειμένου της επίθεσης είναι εξαιρετικά σημαντική, δηλαδή εάν βρίσκονται σε διαφορετικά ή πανομοιότυπα τμήματα. Κατά τη διάρκεια μιας επίθεσης εντός τμήματος, το θέμα και ο στόχος της επίθεσης βρίσκονται στο ίδιο τμήμα. Στην περίπτωση μιας διατμηματικής επίθεσης, το θέμα και ο στόχος της επίθεσης βρίσκονται σε διαφορετικά τμήματα δικτύου. Αυτό το χαρακτηριστικό ταξινόμησης καθιστά δυνατό να κριθεί ο λεγόμενος «βαθμός αποστάσεως» της επίθεσης.
Θα φανεί παρακάτω ότι μια επίθεση εντός τμήματος είναι πολύ πιο εύκολο να πραγματοποιηθεί από μια επίθεση μεταξύ τμημάτων. Σημειώνουμε επίσης ότι μια απομακρυσμένη επίθεση μεταξύ τμημάτων ενέχει πολύ μεγαλύτερο κίνδυνο από μια ενδοτμηματική επίθεση. Αυτό οφείλεται στο γεγονός ότι σε περίπτωση επίθεσης μεταξύ τμημάτων, ο στόχος και ο επιτιθέμενος μπορεί να βρίσκονται σε απόσταση πολλών χιλιάδων χιλιομέτρων μεταξύ τους, γεγονός που μπορεί να εμποδίσει σημαντικά τα μέτρα για την απόκρουση της επίθεσης.
Σύμφωνα με το επίπεδο του μοντέλου αναφοράς ISO/OSI στο οποίο εκτελείται η επίπτωση
Φυσικός
Αγωγός
Δίκτυο
Μεταφορά
Συνεδρία
Εκπρόσωπος
Εφαρμοσμένος
Ο Διεθνής Οργανισμός Τυποποίησης (ISO) υιοθέτησε το πρότυπο ISO 7498, το οποίο περιγράφει τη διασύνδεση ανοιχτών συστημάτων (OSI), στην οποία ανήκουν και τα RBC. Κάθε πρωτόκολλο επικοινωνίας δικτύου, καθώς και κάθε πρόγραμμα δικτύου, μπορούν να προβληθούν με τον ένα ή τον άλλο τρόπο στο μοντέλο αναφοράς 7 επιπέδων OSI. Αυτή η προβολή πολλαπλών επιπέδων καθιστά δυνατή την περιγραφή των λειτουργιών που χρησιμοποιούνται σε ένα πρωτόκολλο δικτύου ή ένα πρόγραμμα από την άποψη του μοντέλου OSI. Το UA είναι ένα πρόγραμμα δικτύου και είναι λογικό να το εξετάσουμε από την άποψη της προβολής στο μοντέλο αναφοράς ISO/OSI.
Σύντομη περιγραφή ορισμένων επιθέσεων δικτύου
Κατακερματισμός δεδομένων
Όταν ένα πακέτο δεδομένων IP μεταδίδεται μέσω δικτύου, το πακέτο μπορεί να χωριστεί σε πολλά τμήματα. Στη συνέχεια, όταν φτάσετε στον προορισμό, το πακέτο ανακατασκευάζεται από αυτά τα τμήματα. Ένας εισβολέας μπορεί να ξεκινήσει την αποστολή μεγάλου αριθμού θραυσμάτων, γεγονός που οδηγεί σε υπερχείλιση των buffer λογισμικού στην πλευρά λήψης και, σε ορισμένες περιπτώσεις, σε κατάρρευση συστήματος.
Ping πλημμυρική επίθεση
Αυτή η επίθεση απαιτεί από τον εισβολέα να έχει πρόσβαση σε γρήγορα κανάλια Διαδικτύου.
Το πρόγραμμα ping στέλνει ένα πακέτο ICMP τύπου ECHO REQUEST, ορίζοντας την ώρα και το αναγνωριστικό του σε αυτό. Ο πυρήνας του μηχανήματος λήψης ανταποκρίνεται σε ένα τέτοιο αίτημα με ένα πακέτο ICMP ECHO REPLY. Αφού το λάβετε, το ping εμφανίζει την ταχύτητα του πακέτου.
Στον τυπικό τρόπο λειτουργίας, τα πακέτα αποστέλλονται σε τακτά χρονικά διαστήματα, χωρίς σχεδόν κανένα φορτίο στο δίκτυο. Αλλά σε "επιθετική" λειτουργία, μια πλημμύρα πακέτων αιτήματος/απάντησης ηχούς ICMP μπορεί να προκαλέσει συμφόρηση σε μια μικρή γραμμή, εμποδίζοντάς τη να μεταδώσει χρήσιμες πληροφορίες.
Μη τυποποιημένα πρωτόκολλα ενσωματωμένα σε IP
Το πακέτο IP περιέχει ένα πεδίο που καθορίζει το πρωτόκολλο του ενθυλακωμένου πακέτου (TCP, UDP, ICMP). Οι εισβολείς μπορούν να χρησιμοποιήσουν μια μη τυπική τιμή αυτού του πεδίου για τη μετάδοση δεδομένων που δεν θα καταγραφούν από τυπικά εργαλεία ελέγχου ροής πληροφοριών.
Επίθεση στρουμφ
Η επίθεση στρουμφ περιλαμβάνει την αποστολή αιτημάτων εκπομπής ICMP στο δίκτυο για λογαριασμό του υπολογιστή-θύματος.
Ως αποτέλεσμα, οι υπολογιστές που έχουν λάβει τέτοια πακέτα εκπομπής ανταποκρίνονται στον υπολογιστή-θύμα, γεγονός που οδηγεί σε σημαντική μείωση της απόδοσης του καναλιού επικοινωνίας και, σε ορισμένες περιπτώσεις, στην πλήρη απομόνωση του δικτύου που δέχεται επίθεση. Η επίθεση στρουμφ είναι εξαιρετικά αποτελεσματική και διαδεδομένη.
Αντίδραση: για να αναγνωριστεί αυτή η επίθεση, είναι απαραίτητο να αναλυθεί το φορτίο του καναλιού και να προσδιοριστούν οι λόγοι για τη μείωση της απόδοσης.
Επίθεση πλαστογράφησης DNS
Το αποτέλεσμα αυτής της επίθεσης είναι η εισαγωγή μιας αναγκαστικής αντιστοιχίας μεταξύ μιας διεύθυνσης IP και ενός ονόματος τομέα στη μνήμη cache του διακομιστή DNS. Ως αποτέλεσμα μιας επιτυχημένης επίθεσης, όλοι οι χρήστες του διακομιστή DNS θα λάβουν εσφαλμένες πληροφορίες σχετικά με τα ονόματα τομέα και τις διευθύνσεις IP. Αυτή η επίθεση χαρακτηρίζεται από μεγάλο αριθμό πακέτων DNS με το ίδιο όνομα τομέα. Αυτό οφείλεται στην ανάγκη επιλογής ορισμένων παραμέτρων ανταλλαγής DNS.
Αντίδραση: για να εντοπίσετε μια τέτοια επίθεση, είναι απαραίτητο να αναλύσετε τα περιεχόμενα της κυκλοφορίας DNS ή να χρησιμοποιήσετε το DNSSEC.
Επίθεση πλαστογράφησης IP
Ένας μεγάλος αριθμός επιθέσεων στο Διαδίκτυο σχετίζεται με πλαστογράφηση της διεύθυνσης IP προέλευσης. Τέτοιες επιθέσεις περιλαμβάνουν επίσης πλαστογράφηση syslog, η οποία περιλαμβάνει την αποστολή μηνύματος στον υπολογιστή-θύμα εκ μέρους άλλου υπολογιστή στο εσωτερικό δίκτυο. Δεδομένου ότι το πρωτόκολλο syslog χρησιμοποιείται για τη διατήρηση αρχείων καταγραφής συστήματος, με την αποστολή ψευδών μηνυμάτων στον υπολογιστή-θύμα, είναι δυνατό να προκληθούν πληροφορίες ή να καλύπτονται τα ίχνη μη εξουσιοδοτημένης πρόσβασης.
Αντίδραση: η ανίχνευση επιθέσεων που σχετίζονται με πλαστογράφηση διευθύνσεων IP είναι δυνατή με την παρακολούθηση της παραλαβής σε μία από τις διεπαφές ενός πακέτου με τη διεύθυνση πηγής της ίδιας διεπαφής ή με την παρακολούθηση της λήψης πακέτων με διευθύνσεις IP του εσωτερικού δικτύου στην εξωτερική διεπαφή .
Επιβολή πακέτου
Ο εισβολέας στέλνει πακέτα με ψευδή διεύθυνση επιστροφής στο δίκτυο. Με αυτήν την επίθεση, ένας εισβολέας μπορεί να αλλάξει τις συνδέσεις που δημιουργούνται μεταξύ άλλων υπολογιστών στον δικό του υπολογιστή. Σε αυτήν την περίπτωση, τα δικαιώματα πρόσβασης του εισβολέα γίνονται ίσα με τα δικαιώματα του χρήστη του οποίου η σύνδεση με τον διακομιστή έγινε εναλλαγή στον υπολογιστή του εισβολέα.
Σνιφάρισμα - ακρόαση καναλιού
Δυνατότητα μόνο στο τμήμα τοπικού δικτύου.
Σχεδόν όλες οι κάρτες δικτύου υποστηρίζουν τη δυνατότητα υποκλοπής πακέτων που μεταδίδονται μέσω ενός κοινού καναλιού τοπικού δικτύου. Σε αυτήν την περίπτωση, ο σταθμός εργασίας μπορεί να λάβει πακέτα που απευθύνονται σε άλλους υπολογιστές στο ίδιο τμήμα δικτύου. Έτσι, όλη η ανταλλαγή πληροφοριών στο τμήμα δικτύου γίνεται διαθέσιμη στον εισβολέα. Για την επιτυχή υλοποίηση αυτής της επίθεσης, ο υπολογιστής του εισβολέα πρέπει να βρίσκεται στο ίδιο τμήμα τοπικού δικτύου με τον υπολογιστή που δέχεται επίθεση.
Παρακολούθηση πακέτων στο δρομολογητή
Το λογισμικό δικτύου ενός δρομολογητή έχει πρόσβαση σε όλα τα πακέτα δικτύου που αποστέλλονται μέσω του δρομολογητή, επιτρέποντας την παρακολούθηση πακέτων. Για να πραγματοποιήσει αυτήν την επίθεση, ο εισβολέας πρέπει να έχει προνομιακή πρόσβαση σε τουλάχιστον έναν δρομολογητή στο δίκτυο. Δεδομένου ότι τόσα πολλά πακέτα μεταδίδονται συνήθως μέσω ενός δρομολογητή, η πλήρης υποκλοπή τους είναι σχεδόν αδύνατη. Ωστόσο, μεμονωμένα πακέτα μπορεί κάλλιστα να υποκλαπούν και να αποθηκευτούν για μεταγενέστερη ανάλυση από έναν εισβολέα. Η πιο αποτελεσματική υποκλοπή πακέτων FTP που περιέχουν κωδικούς πρόσβασης χρήστη, καθώς και email.
Επιβολή ψευδούς διαδρομής σε έναν κεντρικό υπολογιστή χρησιμοποιώντας ICMP
Στο Διαδίκτυο υπάρχει ένα ειδικό πρωτόκολλο ICMP (Internet Control Message Protocol), μία από τις λειτουργίες του οποίου είναι να ενημερώνει τους οικοδεσπότες σχετικά με την αλλαγή του τρέχοντος δρομολογητή. Αυτό το μήνυμα ελέγχου ονομάζεται ανακατεύθυνση. Είναι δυνατή η αποστολή ενός ψευδούς μηνύματος ανακατεύθυνσης από οποιονδήποτε κεντρικό υπολογιστή στο τμήμα δικτύου για λογαριασμό του δρομολογητή στον κεντρικό υπολογιστή που δέχεται επίθεση. Ως αποτέλεσμα, ο τρέχων πίνακας δρομολόγησης του κεντρικού υπολογιστή αλλάζει και, στο μέλλον, όλη η κίνηση δικτύου αυτού του κεντρικού υπολογιστή θα περνά, για παράδειγμα, μέσω του κεντρικού υπολογιστή που έστειλε το ψευδές μήνυμα ανακατεύθυνσης. Με αυτόν τον τρόπο, είναι δυνατό να επιβληθεί ενεργά μια ψευδής διαδρομή σε ένα τμήμα του Διαδικτύου.
Μαζί με τα κανονικά δεδομένα που αποστέλλονται μέσω μιας σύνδεσης TCP, το πρότυπο προβλέπει επίσης τη μετάδοση επειγόντων δεδομένων (Out Of Band). Στο επίπεδο των μορφών πακέτων TCP, αυτό εκφράζεται ως μη μηδενικός δείκτης επείγουσας ανάγκης. Οι περισσότεροι υπολογιστές με εγκατεστημένα Windows έχουν το πρωτόκολλο δικτύου NetBIOS, το οποίο χρησιμοποιεί τρεις θύρες IP για τις ανάγκες του: 137, 138, 139. Εάν συνδεθείτε σε ένα μηχάνημα Windows μέσω της θύρας 139 και στείλετε πολλά byte δεδομένων OutOfBand εκεί, τότε η υλοποίηση του NetBIOS θα μη γνωρίζοντας τι να κάνει με αυτά τα δεδομένα, απλώς κολλάει ή επανεκκινεί το μηχάνημα. Για τα Windows 95, αυτό συνήθως μοιάζει με μια μπλε οθόνη κειμένου που υποδεικνύει ένα σφάλμα στο πρόγραμμα οδήγησης TCP/IP και την αδυναμία εργασίας με το δίκτυο μέχρι να γίνει επανεκκίνηση του λειτουργικού συστήματος. Το NT 4.0 χωρίς service pack επανεκκινείται, το NT 4.0 με το πακέτο ServicePack 2 κολλάει σε μπλε οθόνη. Κρίνοντας από πληροφορίες από το δίκτυο, τόσο τα Windows NT 3.51 όσο και τα Windows 3.11 for Workgroups είναι επιρρεπή σε μια τέτοια επίθεση.
Η αποστολή δεδομένων στη θύρα 139 οδηγεί σε επανεκκίνηση του NT 4.0 ή σε "μπλε οθόνη θανάτου" με εγκατεστημένο το Service Pack 2 Μια παρόμοια αποστολή δεδομένων στη θύρα 135 και σε ορισμένες άλλες θύρες οδηγεί σε σημαντικό φόρτο στη διαδικασία RPCSS.EXE. Στο Windows NT WorkStation αυτό οδηγεί σε σημαντική επιβράδυνση του Windows NT Server.
Παραπλάνηση αξιόπιστου κεντρικού υπολογιστή
Η επιτυχής υλοποίηση απομακρυσμένων επιθέσεων αυτού του τύπου θα επιτρέψει στον εισβολέα να πραγματοποιήσει μια περίοδο λειτουργίας με τον διακομιστή για λογαριασμό ενός αξιόπιστου κεντρικού υπολογιστή. (Αξιόπιστος κεντρικός υπολογιστής - ένας σταθμός που συνδέεται νόμιμα με τον διακομιστή). Η υλοποίηση αυτού του τύπου επίθεσης συνήθως συνίσταται στην αποστολή πακέτων ανταλλαγής από το σταθμό του εισβολέα για λογαριασμό ενός αξιόπιστου σταθμού υπό τον έλεγχό του.
Τεχνολογίες ανίχνευσης επιθέσεων
Οι τεχνολογίες δικτύου και πληροφοριών αλλάζουν τόσο γρήγορα που οι στατικοί προστατευτικοί μηχανισμοί, που περιλαμβάνουν συστήματα ελέγχου πρόσβασης, τείχη προστασίας και συστήματα ελέγχου ταυτότητας, σε πολλές περιπτώσεις δεν μπορούν να παρέχουν αποτελεσματική προστασία. Επομένως, απαιτούνται δυναμικές μέθοδοι για τον γρήγορο εντοπισμό και την πρόληψη παραβιάσεων ασφαλείας. Μια τεχνολογία που μπορεί να ανιχνεύσει παραβιάσεις που δεν μπορούν να εντοπιστούν χρησιμοποιώντας παραδοσιακά μοντέλα ελέγχου πρόσβασης είναι η τεχνολογία ανίχνευσης εισβολής.
Ουσιαστικά, η διαδικασία ανίχνευσης επίθεσης είναι η διαδικασία αξιολόγησης ύποπτων δραστηριοτήτων που συμβαίνουν σε ένα εταιρικό δίκτυο. Με άλλα λόγια, η ανίχνευση εισβολής είναι η διαδικασία αναγνώρισης και απόκρισης σε ύποπτη δραστηριότητα που κατευθύνεται σε υπολογιστικούς πόρους ή πόρους δικτύου.
Μέθοδοι για την ανάλυση πληροφοριών δικτύου
Η αποτελεσματικότητα ενός συστήματος ανίχνευσης επίθεσης εξαρτάται σε μεγάλο βαθμό από τις μεθόδους που χρησιμοποιούνται για την ανάλυση των λαμβανόμενων πληροφοριών. Τα πρώτα συστήματα ανίχνευσης εισβολών, που αναπτύχθηκαν στις αρχές της δεκαετίας του 1980, χρησιμοποίησαν στατιστικές μεθόδους για τον εντοπισμό επιθέσεων. Επί του παρόντος, μια σειρά από νέες τεχνικές έχουν προστεθεί στη στατιστική ανάλυση, ξεκινώντας από έμπειρα συστήματα και ασαφή λογική και τελειώνοντας με τη χρήση νευρωνικών δικτύων.
Στατιστική μέθοδος
Τα κύρια πλεονεκτήματα της στατιστικής προσέγγισης είναι η χρήση μιας ήδη ανεπτυγμένης και δοκιμασμένης συσκευής μαθηματικών στατιστικών και η προσαρμογή στη συμπεριφορά του υποκειμένου.
Πρώτον, προσδιορίζονται τα προφίλ για όλα τα θέματα του αναλυόμενου συστήματος. Οποιαδήποτε απόκλιση του χρησιμοποιούμενου προφίλ από το προφίλ αναφοράς θεωρείται μη εξουσιοδοτημένη δραστηριότητα. Οι στατιστικές μέθοδοι είναι καθολικές επειδή η ανάλυση δεν απαιτεί γνώση πιθανών επιθέσεων και των τρωτών σημείων που εκμεταλλεύονται. Ωστόσο, όταν χρησιμοποιείτε αυτές τις τεχνικές, προκύπτουν προβλήματα:
Τα «στατιστικά» συστήματα δεν είναι ευαίσθητα στη σειρά των γεγονότων. Σε ορισμένες περιπτώσεις, τα ίδια γεγονότα, ανάλογα με τη σειρά με την οποία συμβαίνουν, μπορεί να χαρακτηρίζουν μη φυσιολογική ή φυσιολογική δραστηριότητα.
Είναι δύσκολο να οριστούν οι οριακές τιμές (κατώφλι) των χαρακτηριστικών που παρακολουθούνται από το σύστημα ανίχνευσης εισβολής προκειμένου να εντοπιστεί επαρκώς η ανώμαλη δραστηριότητα.
Τα «στατιστικά» συστήματα μπορούν να «εκπαιδευτούν» από τους εισβολείς με την πάροδο του χρόνου, έτσι ώστε οι ενέργειες επίθεσης να θεωρούνται φυσιολογικές.
Θα πρέπει επίσης να ληφθεί υπόψη ότι οι στατιστικές μέθοδοι δεν εφαρμόζονται σε περιπτώσεις όπου δεν υπάρχει τυπική συμπεριφορά για τον χρήστη ή όταν οι μη εξουσιοδοτημένες ενέργειες είναι τυπικές για τον χρήστη.
Εξειδικευμένα συστήματα
Τα έμπειρα συστήματα αποτελούνται από ένα σύνολο κανόνων που συλλαμβάνουν τη γνώση ενός ανθρώπινου ειδικού. Η χρήση έμπειρων συστημάτων είναι μια κοινή μέθοδος ανίχνευσης επίθεσης στην οποία οι πληροφορίες επίθεσης διατυπώνονται με τη μορφή κανόνων. Αυτοί οι κανόνες μπορούν να γραφτούν, για παράδειγμα, ως ακολουθία ενεργειών ή ως υπογραφή. Όταν τηρείται κάποιος από αυτούς τους κανόνες, λαμβάνεται απόφαση σχετικά με την παρουσία μη εξουσιοδοτημένης δραστηριότητας. Ένα σημαντικό πλεονέκτημα αυτής της προσέγγισης είναι η σχεδόν πλήρης απουσία ψευδών συναγερμών.
Η βάση δεδομένων του ειδικού συστήματος θα πρέπει να περιέχει σενάρια για τις περισσότερες γνωστές επιθέσεις. Για να παραμένουν συνεχώς ενημερωμένα, τα έμπειρα συστήματα απαιτούν συνεχή ενημέρωση της βάσης δεδομένων. Αν και τα έμπειρα συστήματα προσφέρουν καλή ορατότητα στα δεδομένα καταγραφής, οι απαιτούμενες ενημερώσεις μπορεί είτε να αγνοηθούν είτε να εκτελεστούν με μη αυτόματο τρόπο από τον διαχειριστή. Τουλάχιστον, αυτό οδηγεί σε ένα έμπειρο σύστημα με εξασθενημένες δυνατότητες. Στη χειρότερη περίπτωση, η έλλειψη σωστής συντήρησης μειώνει την ασφάλεια ολόκληρου του δικτύου, παραπλανώντας τους χρήστες του σχετικά με το πραγματικό επίπεδο ασφάλειας.
Το κύριο μειονέκτημα είναι η αδυναμία απόκρουσης άγνωστων επιθέσεων. Επιπλέον, ακόμη και μια μικρή αλλαγή σε μια ήδη γνωστή επίθεση μπορεί να αποτελέσει σοβαρό εμπόδιο στη λειτουργία του συστήματος ανίχνευσης επίθεσης.
Νευρωνικά δίκτυα
Οι περισσότερες σύγχρονες μέθοδοι ανίχνευσης επιθέσεων χρησιμοποιούν κάποια μορφή ανάλυσης ελεγχόμενου χώρου, είτε βάσει κανόνων είτε στατιστικής προσέγγισης. Ο ελεγχόμενος χώρος μπορεί να είναι αρχεία καταγραφής ή κίνηση δικτύου. Η ανάλυση βασίζεται σε ένα σύνολο προκαθορισμένων κανόνων που δημιουργούνται από τον διαχειριστή ή το ίδιο το σύστημα ανίχνευσης εισβολής.
Οποιοσδήποτε διαχωρισμός μιας επίθεσης με την πάροδο του χρόνου ή μεταξύ πολλών εισβολέων είναι δύσκολο να εντοπιστεί χρησιμοποιώντας εξειδικευμένα συστήματα. Λόγω της μεγάλης ποικιλίας επιθέσεων και χάκερ, ακόμη και ad hoc, οι συνεχείς ενημερώσεις στη βάση δεδομένων κανόνων του συστήματος ειδικών δεν θα εγγυηθούν ποτέ την ακριβή αναγνώριση του πλήρους φάσματος των επιθέσεων.
Η χρήση νευρωνικών δικτύων είναι ένας από τους τρόπους για να ξεπεραστούν αυτά τα προβλήματα των έμπειρων συστημάτων. Σε αντίθεση με τα έμπειρα συστήματα, τα οποία μπορούν να δώσουν στον χρήστη μια σαφή απάντηση σχετικά με τη συμμόρφωση των υπό εξέταση χαρακτηριστικών με τους κανόνες που είναι ενσωματωμένοι στη βάση δεδομένων, ένα νευρωνικό δίκτυο αναλύει πληροφορίες και παρέχει την ευκαιρία να αξιολογήσει εάν τα δεδομένα είναι συνεπή με τα χαρακτηριστικά που είναι εκπαιδευμένοι να αναγνωρίζουν. Ενώ ο βαθμός αντιστοιχίας μιας αναπαράστασης νευρωνικού δικτύου μπορεί να φτάσει το 100%, η αξιοπιστία της επιλογής εξαρτάται εξ ολοκλήρου από την ποιότητα του συστήματος στην ανάλυση παραδειγμάτων της εργασίας.
Πρώτον, το νευρωνικό δίκτυο εκπαιδεύεται να αναγνωρίζει σωστά χρησιμοποιώντας ένα προεπιλεγμένο δείγμα παραδειγμάτων τομέα. Η απόκριση του νευρωνικού δικτύου αναλύεται και το σύστημα προσαρμόζεται με τέτοιο τρόπο ώστε να επιτυγχάνονται ικανοποιητικά αποτελέσματα. Εκτός από την αρχική περίοδο εκπαίδευσης, το νευρωνικό δίκτυο αποκτά εμπειρία με την πάροδο του χρόνου καθώς αναλύει δεδομένα για συγκεκριμένο τομέα.
Ένα σημαντικό πλεονέκτημα των νευρωνικών δικτύων στον εντοπισμό κατάχρησης είναι η ικανότητά τους να «μάθουν» τα χαρακτηριστικά των σκόπιμων επιθέσεων και να εντοπίζουν στοιχεία που δεν είναι παρόμοια με εκείνα που παρατηρήθηκαν προηγουμένως στο δίκτυο.
Κάθε μία από τις περιγραφόμενες μεθόδους έχει μια σειρά από πλεονεκτήματα και μειονεκτήματα, επομένως τώρα είναι σχεδόν δύσκολο να βρεθεί ένα σύστημα που εφαρμόζει μόνο μία από τις μεθόδους που περιγράφηκαν. Κατά κανόνα, αυτές οι μέθοδοι χρησιμοποιούνται σε συνδυασμό.
Μια επίθεση χάκερ είναι μια ενέργεια της οποίας ο στόχος είναι να καταλάβει τον έλεγχο (να αυξήσει τα δικαιώματα) ενός απομακρυσμένου/τοπικού συστήματος υπολογιστή ή να το αποσταθεροποιήσει ή να αρνηθεί την υπηρεσία. Αρχικά, οι επιθέσεις προκλήθηκαν από έναν αριθμό περιορισμών που είναι εγγενείς στο πρωτόκολλο TCP/IP. Οι πρώτες εκδόσεις του πρωτοκόλλου IP δεν είχαν απαιτήσεις ασφαλείας, οι οποίες εμφανίστηκαν αρκετά χρόνια αργότερα. Αλλά μόνο με την ταχεία ανάπτυξη του διαδικτυακού εμπορίου, το πρόβλημα έγινε επείγον και τα πρότυπα ασφαλείας έπρεπε να εφαρμοστούν σε σύντομο χρονικό διάστημα.
Το Mailbombing θεωρείται η παλαιότερη μέθοδος επίθεσης, αν και η ουσία του είναι απλή και πρωτόγονη: ένας μεγάλος αριθμός μηνυμάτων email καθιστά αδύνατη την εργασία με γραμματοκιβώτια και μερικές φορές με ολόκληρους διακομιστές αλληλογραφίας. Πολλά προγράμματα έχουν αναπτυχθεί για το σκοπό αυτό και ακόμη και ένας άπειρος χρήστης θα μπορούσε να πραγματοποιήσει επίθεση υποδεικνύοντας μόνο το e-mail του θύματος, το κείμενο του μηνύματος και τον αριθμό των απαιτούμενων μηνυμάτων. Πολλά τέτοια προγράμματα κατέστησαν δυνατή την απόκρυψη της πραγματικής διεύθυνσης IP του αποστολέα, χρησιμοποιώντας έναν ανώνυμο διακομιστή αλληλογραφίας για αποστολή. Ο πάροχος μπορεί να περιορίσει τον αριθμό των email από έναν αποστολέα, αλλά η διεύθυνση και το θέμα του αποστολέα δημιουργούνται συχνά τυχαία.Υπερχείλιση buffer. Ίσως ένας από τους πιο συνηθισμένους τύπους επιθέσεων στο Διαδίκτυο. Η αρχή αυτής της επίθεσης βασίζεται στη χρήση σφαλμάτων λογισμικού που μπορούν να προκαλέσουν παραβίαση της μνήμης και να διακόψουν την εφαρμογή ή να εκτελέσουν αυθαίρετο δυαδικό κώδικα για λογαριασμό του χρήστη υπό τον οποίο εκτελούνταν το ευάλωτο πρόγραμμα. Εάν το πρόγραμμα εκτελείται υπό τον λογαριασμό διαχειριστή συστήματος, τότε αυτή η επίθεση θα σας επιτρέψει να αποκτήσετε τον πλήρη έλεγχο του υπολογιστή του θύματος, επομένως συνιστάται να εργάζεστε υπό τον λογαριασμό ενός απλού χρήστη που έχει περιορισμένα δικαιώματα στο σύστημα και στο σύστημα λογαριασμό διαχειριστή για την εκτέλεση μόνο λειτουργιών που απαιτούν δικαιώματα διαχειριστή.
Ιοί, δούρειοι ίπποι, σκουλήκια email, sniffers, Rootkits και άλλα ειδικά προγράμματα. Ο επόμενος τύπος επίθεσης είναι μια πιο εξελιγμένη μέθοδος απόκτησης πρόσβασης σε ευαίσθητες πληροφορίες - χρησιμοποιώντας ειδικά προγράμματα για την εκτέλεση εργασιών στον υπολογιστή του θύματος. Τέτοια προγράμματα έχουν σχεδιαστεί για να αναζητούν και να μεταφέρουν μυστικές πληροφορίες στον κάτοχό τους ή απλώς να βλάπτουν το σύστημα ασφαλείας και την απόδοση του υπολογιστή του θύματος. Οι αρχές λειτουργίας αυτών των προγραμμάτων είναι διαφορετικές, επομένως δεν θα τις εξετάσουμε χωριστά.
Ευφυΐα δικτύου. Κατά τη διάρκεια μιας τέτοιας επίθεσης, ο χάκερ δεν εκτελεί στην πραγματικότητα καμία καταστροφική ενέργεια, αλλά ως αποτέλεσμα μπορεί να λάβει εμπιστευτικές πληροφορίες σχετικά με τη δομή και τις αρχές λειτουργίας του συστήματος υπολογιστή του θύματος. Οι πληροφορίες που λαμβάνονται μπορούν να χρησιμοποιηθούν για την κατάλληλη κατασκευή μιας επερχόμενης επίθεσης και συνήθως εκτελούνται κατά τα προπαρασκευαστικά στάδια. Κατά τη διάρκεια μιας τέτοιας αναγνώρισης, ένας εισβολέας μπορεί να εκτελέσει σάρωση θυρών, ερωτήματα DNS, δοκιμή ηχούς ανοιχτών θυρών και την παρουσία και την ασφάλεια διακομιστών μεσολάβησης. Ως αποτέλεσμα, μπορείτε να λάβετε πληροφορίες σχετικά με τις διευθύνσεις DNS που υπάρχουν στο σύστημα, σε ποιον ανήκουν, ποιες υπηρεσίες είναι διαθέσιμες σε αυτές και το επίπεδο πρόσβασης σε αυτές τις υπηρεσίες για εξωτερικούς και εσωτερικούς χρήστες.
Σνιφάρισμα πακέτων. Επίσης, ένας αρκετά κοινός τύπος επίθεσης που βασίζεται στη λειτουργία μιας κάρτας δικτύου σε ακατάλληλη λειτουργία, καθώς και στη λειτουργία παρακολούθησης για δίκτυα Wi-Fi. Σε αυτή τη λειτουργία, όλα τα πακέτα που λαμβάνονται από την κάρτα δικτύου αποστέλλονται σε μια ειδική εφαρμογή που ονομάζεται sniffer για επεξεργασία. Ως αποτέλεσμα, ένας εισβολέας μπορεί να λάβει μεγάλο όγκο πληροφοριών υπηρεσίας: ποιος, από πού, πού μεταδόθηκαν τα πακέτα και από ποιες διευθύνσεις πέρασαν αυτά τα πακέτα. Ο μεγαλύτερος κίνδυνος μιας τέτοιας επίθεσης είναι η απόκτηση των ίδιων των πληροφοριών, όπως τα στοιχεία σύνδεσης και οι κωδικοί πρόσβασης των εργαζομένων, που μπορούν να χρησιμοποιηθούν για παράνομη είσοδο στο σύστημα με το πρόσχημα ενός απλού υπαλλήλου της εταιρείας.
Η λειτουργία promiscuous ή η λειτουργία promisc είναι μια λεγόμενη λειτουργία "promiscuous" στην οποία η κάρτα δικτύου σας επιτρέπει να αποδέχεστε όλα τα πακέτα ανεξάρτητα από το σε ποιον απευθύνονται αυτή η δυνατότητα χρησιμοποιείται συνήθως σε αναλυτές κίνησης δικτύου. Σε κανονική κατάσταση, η διεπαφή Ethernet χρησιμοποιεί φιλτράρισμα πακέτων επιπέδου σύνδεσης και εάν η διεύθυνση MAC στην κεφαλίδα προορισμού του ληφθέντος πακέτου δεν ταιριάζει με τη διεύθυνση MAC της τρέχουσας διεπαφής δικτύου και δεν μεταδίδεται, τότε το πακέτο απορρίπτεται. Στη λειτουργία "αδιάκριτης", το φιλτράρισμα στη διεπαφή δικτύου είναι απενεργοποιημένο και όλα τα πακέτα, συμπεριλαμβανομένων εκείνων που δεν προορίζονται για τον τρέχοντα κόμβο, επιτρέπονται στο σύστημα. Τα περισσότερα λειτουργικά συστήματα απαιτούν δικαιώματα διαχειριστή για να ενεργοποιήσουν την ακατάλληλη λειτουργία. Αυτή η λειτουργία σάς επιτρέπει να παρακολουθείτε την κυκλοφορία μόνο σε έναν δεδομένο τομέα σύγκρουσης (για δίκτυα Ethernet ή ασύρματα δίκτυα) ή δακτύλιο (για δίκτυα Token ring ή FDDI), επομένως η χρήση κόμβων δικτύου είναι λιγότερο ασφαλής λύση από τους διακόπτες, καθώς οι τελευταίοι δεν μεταδίδουν κίνηση σε όλους, ανεξάρτητα από τη διεύθυνση ραντεβού. Η λειτουργία "Promiscuous" χρησιμοποιείται συχνά από sniffers - εξειδικευμένα προγράμματα που σας επιτρέπουν να εμφανίζετε και να αναλύετε την κυκλοφορία δικτύου για τη διάγνωση προβλημάτων δικτύου. Τέτοια προγράμματα διευκολύνουν την υποκλοπή κωδικών πρόσβασης και εμπιστευτικών δεδομένων που μεταδίδονται μέσω του δικτύου σε μη προστατευμένη μορφή, για να αποφευχθεί αυτό, συνιστάται η χρήση ασφαλών πρωτοκόλλων, συμπεριλαμβανομένων των SSL και διαφόρων επιλογών VPN/IPSec.
Sniffer - αναλυτής κυκλοφορίας ή sniffer (από τα αγγλικά σε sniff - sniff) - ένας αναλυτής κυκλοφορίας δικτύου, πρόγραμμα ή συσκευή υλικού-λογισμικού που έχει σχεδιαστεί για παρακολούθηση και επακόλουθη ανάλυση ή μόνο ανάλυση της κίνησης δικτύου που προορίζεται για άλλους κόμβους. Ενώ το sniffer εκτελείται, η διεπαφή δικτύου μεταβαίνει σε "λειτουργία ακρόασης" (Promiscuous mode), η οποία του επιτρέπει να λαμβάνει πακέτα που απευθύνονται σε άλλες διεπαφές στο δίκτυο.
Η παρακολούθηση της κυκλοφορίας μπορεί να πραγματοποιηθεί: με τακτική «ακρόαση» της διεπαφής δικτύου. σύνδεση ενός sniffer σε ένα διάκενο καναλιού. διακλάδωση της κυκλοφορίας (λογισμικού ή υλικού) και κατευθύνοντας ένα αντίγραφό της στον ανιχνευτή. μέσω της ανάλυσης της ψευδούς ηλεκτρομαγνητικής ακτινοβολίας και, κατά συνέπεια, της αποκατάστασης της κίνησης που παρακολουθείται. μέσω μιας επίθεσης στη σύνδεση ή στο επίπεδο δικτύου, που οδηγεί στην ανακατεύθυνση της κίνησης του θύματος ή όλης της κίνησης ενός τμήματος στον ανιχνευτή και στη συνέχεια στην επιστροφή της κυκλοφορίας στη σωστή διεύθυνση.
· Εντοπισμός κακόβουλου και μη εξουσιοδοτημένου λογισμικού στο δίκτυο.
· Εντοπίστε ένα σφάλμα δικτύου ή ένα σφάλμα διαμόρφωσης παράγοντα δικτύου.
· Υποκλοπή οποιασδήποτε μη κρυπτογραφημένης κίνησης χρηστών προκειμένου να αποκτήσετε κωδικούς πρόσβασης και άλλες πληροφορίες.
Παραπλάνηση IP. Αυτός είναι επίσης ένας συνηθισμένος τύπος επίθεσης σε ανεπαρκώς προστατευμένα δίκτυα, όταν ένας εισβολέας υποδύεται έναν εξουσιοδοτημένο χρήστη ενώ βρίσκεται εντός ή εκτός του οργανισμού. Για να γίνει αυτό, ο χάκερ πρέπει να χρησιμοποιήσει μια διεύθυνση IP που επιτρέπεται στο σύστημα ασφαλείας δικτύου. Μια τέτοια επίθεση είναι δυνατή εάν το σύστημα ασφαλείας επιτρέπει την αναγνώριση του χρήστη μόνο μέσω διεύθυνσης IP και δεν απαιτεί πρόσθετη επιβεβαίωση. 
Ανθρωπος στη μέση. Ένας τύπος επίθεσης όταν ένας εισβολέας παρεμποδίζει ένα κανάλι επικοινωνίας μεταξύ δύο συστημάτων και αποκτά πρόσβαση σε όλες τις μεταδιδόμενες πληροφορίες. Αποκτώντας πρόσβαση σε αυτό το επίπεδο, μπορείτε να τροποποιήσετε τις πληροφορίες όπως απαιτείται για να επιτύχετε τους στόχους σας. Ο σκοπός μιας τέτοιας επίθεσης είναι να κλέψει ή να παραποιήσει μεταδιδόμενες πληροφορίες ή να αποκτήσει πρόσβαση σε πόρους δικτύου. Τέτοιες επιθέσεις είναι εξαιρετικά δύσκολο να εντοπιστούν επειδή ο εισβολέας βρίσκεται συνήθως εντός του οργανισμού.
Ενεση. Μια επίθεση που σχετίζεται με διάφορους τύπους εγχύσεων περιλαμβάνει την εισαγωγή εντολών ή δεδομένων τρίτων σε ένα τρέχον σύστημα προκειμένου να αλλάξει η πορεία της λειτουργίας του συστήματος και ως αποτέλεσμα να αποκτήσει πρόσβαση σε ιδιωτικές λειτουργίες και πληροφορίες ή να αποσταθεροποιήσει τη λειτουργία του συστήματος στο σύνολό του. Αυτός ο τύπος επίθεσης είναι πιο δημοφιλής στο Διαδίκτυο, αλλά μπορεί επίσης να πραγματοποιηθεί μέσω της γραμμής εντολών του συστήματος.
Τύποι ενέσεων:
SQL injection- μια επίθεση κατά την οποία αλλάζουν οι παράμετροι των ερωτημάτων SQL στη βάση δεδομένων. Ως αποτέλεσμα, το αίτημα αποκτά εντελώς διαφορετικό νόημα και σε περίπτωση ανεπαρκούς φιλτραρίσματος των δεδομένων εισόδου, μπορεί όχι μόνο να εξάγει εμπιστευτικές πληροφορίες, αλλά και να αλλάξει/διαγράψει τα δεδομένα. Πολύ συχνά, αυτός ο τύπος επίθεσης μπορεί να παρατηρηθεί στο παράδειγμα τοποθεσιών που χρησιμοποιούν παραμέτρους γραμμής εντολών (σε αυτήν την περίπτωση, μεταβλητές URL) για τη δημιουργία ερωτημάτων SQL σε βάσεις δεδομένων χωρίς κατάλληλη επαλήθευση.
PHP-ένεση– ένας από τους τρόπους για να χακάρετε ιστοσελίδες που εκτελούνται σε PHP. Συνίσταται στην έγχυση ενός ειδικά δημιουργημένου κακόβουλου σεναρίου στον κώδικα της εφαρμογής Ιστού στην πλευρά του διακομιστή του ιστότοπου, το οποίο οδηγεί στην εκτέλεση αυθαίρετων εντολών. Είναι γνωστό ότι πολλές δωρεάν μηχανές και φόρουμ που είναι ευρέως διαδεδομένα στο Διαδίκτυο που τρέχουν σε PHP (τις περισσότερες φορές αυτές είναι ξεπερασμένες εκδόσεις) περιέχουν λανθασμένες ενότητες ή μεμονωμένα σχέδια με τρωτά σημεία. Οι χάκερ αναλύουν τρωτά σημεία, όπως μεταβλητές χωρίς διαφυγή που λαμβάνουν εξωτερικές τιμές.
ντοκρύπτη ένεσηή XSS Cross Site Scripting - ένας τύπος ευπάθειας σε διαδραστικά συστήματα πληροφοριών στον ιστό. Το "XSS" εμφανίζεται όταν τα σενάρια χρήστη περιλαμβάνονται σε σελίδες που δημιουργούνται από διακομιστή για κάποιο λόγο. Η ιδιαιτερότητα τέτοιων επιθέσεων είναι ότι αντί να επιτίθενται απευθείας στον διακομιστή, χρησιμοποιούν έναν ευάλωτο διακομιστή ως μέσο επίθεσης στον πελάτη. Για πολύ καιρό, οι προγραμματιστές δεν τους έδιναν αρκετή προσοχή, θεωρώντας τους ακίνδυνους. Ωστόσο, αυτή η άποψη είναι εσφαλμένη: ενδέχεται να υπάρχουν πολύ ευαίσθητα δεδομένα στη σελίδα ή στα cookies HTTP (για παράδειγμα, το αναγνωριστικό περιόδου σύνδεσης του διαχειριστή). Σε έναν δημοφιλή ιστότοπο, το σενάριο μπορεί να ξεκινήσει μια επίθεση DoS.
Έγχυση XPath.Ένας τύπος ευπάθειας που περιλαμβάνει την ένεση εκφράσεων XPath στο αρχικό αίτημα σε μια βάση δεδομένων XML. Όπως και με άλλους τύπους εγχύσεων, η ευπάθεια είναι δυνατή λόγω ανεπαρκούς επαλήθευσης των δεδομένων εισόδου.
DoS - (Denial of Service) - μια επίθεση με στόχο να κάνει τον διακομιστή να μην ανταποκρίνεται σε αιτήματα. Αυτός ο τύπος επίθεσης δεν περιλαμβάνει τη λήψη ορισμένων μυστικών πληροφοριών, αλλά μερικές φορές μπορεί να βοηθήσει στην έναρξη άλλων επιθέσεων. Για παράδειγμα, ορισμένα προγράμματα, λόγω σφαλμάτων στον κώδικά τους, μπορούν να δημιουργήσουν εξαιρέσεις και όταν οι υπηρεσίες είναι απενεργοποιημένες, μπορούν να εκτελέσουν κώδικα που παρέχεται από έναν εισβολέα ή επιθέσεις πλημμύρας, όταν ο διακομιστής δεν μπορεί να επεξεργαστεί έναν τεράστιο αριθμό εισερχόμενων πακέτων.
DDoS - (Distributed Denial of Service) - έχοντας τον ίδιο στόχο με το DoS, αλλά δεν πραγματοποιείται από έναν υπολογιστή, αλλά από πολλούς υπολογιστές στο δίκτυο. Αυτοί οι τύποι επιθέσεων χρησιμοποιούν είτε την εμφάνιση σφαλμάτων που οδηγούν σε αποτυχία υπηρεσίας είτε την ενεργοποίηση προστασίας, που οδηγεί σε αποκλεισμό της υπηρεσίας και ως αποτέλεσμα άρνησης υπηρεσίας. Το DDoS χρησιμοποιείται όπου το κανονικό DoS είναι αναποτελεσματικό. Για να γίνει αυτό, πολλοί υπολογιστές ενώνονται και ο καθένας εκτελεί μια επίθεση DoS στο σύστημα του θύματος. Μαζί αυτό ονομάζεται επίθεση DDoS.
Οποιαδήποτε επίθεση δεν είναι τίποτα άλλο από μια προσπάθεια χρήσης της ατέλειας του συστήματος ασφαλείας του θύματος είτε για να ληφθούν πληροφορίες είτε για να βλάψει το σύστημα, επομένως ο λόγος για κάθε επιτυχημένη επίθεση είναι ο επαγγελματισμός του χάκερ και η αξία των πληροφοριών, καθώς και η ανεπαρκής ικανότητα του διαχειριστή του συστήματος ασφαλείας ειδικότερα, το ελαττωματικό λογισμικό και η ανεπαρκής προσοχή σε θέματα ασφάλειας στην εταιρεία γενικά.
Ο στόχος κάθε επίθεσης είναι να εξαλείψει έναν ανταγωνιστή που αφαιρεί πελάτες ή απλά μοναδικούς επισκέπτες. Πολλοί webmasters δεν χρησιμοποιούν πάντα μόνο μεθόδους "λευκού καπέλου" για να προωθήσουν το πνευματικό τους τέκνο. Δεν μπορούμε χωρίς «μαύρους». Μέσω της προώθησης με χρήση μαύρων μεθόδων, ο ιδιοκτήτης μιας εταιρείας ή απλώς ενός ιστότοπου προωθείται στην κορυφή των αποτελεσμάτων αναζήτησης καταστρέφοντας τους ανταγωνιστές του.
Αλλά το χειρότερο είναι ότι οι εντελώς αθώοι ιστότοποι μπορούν να γίνουν θύματα επίθεσης, ίσως ακόμη και αυτοί που δημιουργήθηκαν μόλις πρόσφατα, αυτό μπορεί να συμβεί εάν δεχτεί επίθεση ολόκληρου του διακομιστή. Παρεμπιπτόντως, αυτός είναι ακριβώς ο λόγος για τον οποίο πρέπει να αγοράσετε μια αποκλειστική IP για τον ιστότοπό σας. Και παρόλο που αυτές οι επιθέσεις τιμωρούνται από το νόμο, αυτό δεν σταματά την πλειοψηφία.
Είναι αδύνατο να προστατεύσετε την ιστοσελίδα σας 100%. Εάν οι επιτιθέμενοι έχουν μεγάλο προϋπολογισμό για αυτό το θέμα και έντονη επιθυμία, τότε σχεδόν τίποτα δεν μπορεί να τους σταματήσει.
Στόχοι επιθέσεων
Υπάρχουν αρκετοί κύριοι στόχοι:
— Κλοπή κωδικών πρόσβασης χρήστη, πρόσβαση σε κλειστές ενότητες.
— «Καταστροφή» του διακομιστή. Ο στόχος είναι να το φέρει σε μη λειτουργική κατάσταση.
— Αποκτήστε απεριόριστη πρόσβαση στον διακομιστή.
— Εμφύτευση συνδέσμων, διάφορων ιών και άλλων πραγμάτων στον κώδικα.
— Κατέβασμα του ιστότοπου στα αποτελέσματα αναζήτησης μέχρι να εξαφανιστεί τελείως.
Εκτός από τα παραπάνω, οι επιθέσεις χωρίζονται σε εσωτερικές και εξωτερικές. ΠΡΟΣ ΤΗΝ εσωτερικόςμπορεί να περιλαμβάνει διάφορες εισβολές για πρόσβαση σε έναν ιστότοπο ή διακομιστή και σε εξωτερικό, συκοφαντία ή ανεπιθύμητη αλληλογραφία.
Είναι δυνατή η καταπολέμηση εσωτερικών τύπων επιθέσεων αρκετά ενεργά. Όσο για τα εξωτερικά, όλα είναι πολύ πιο περίπλοκα. Το θέμα είναι ότι ο ιδιοκτήτης του διακομιστή δεν μπορεί να αναλάβει τον έλεγχο της κατάστασης, γεγονός που τον καθιστά πολύ ευάλωτο.
Τύποι επιθέσεων
Επίθεση Ddos
Αυτή είναι, ζητώ συγγνώμη, η πιο αηδιαστική ποικιλία. Η συνέπεια μιας τέτοιας επίθεσης θα είναι η πλήρης διακοπή του διακομιστή, και ίσως ακόμη και πολλών διακομιστών. Το χειρότερο είναι ότι δεν υπάρχει 100% πλήρης προστασία DDoS. Εάν η επίθεση δεν είναι αδύναμη, τότε ο διακομιστής θα είναι εκτός λειτουργίας μέχρι να σταματήσει η επίθεση.
Ένα άλλο χαρακτηριστικό χαρακτηριστικό των επιθέσεων DDoS είναι η προσβασιμότητά του. Για να «συντρίψετε» τον διακομιστή ενός ανταγωνιστή, δεν χρειάζεται να είστε επαγγελματίας χάκερ. Για να το κάνετε αυτό, χρειάζεστε μόνο χρήματα ή το δικό σας botnet (το Botnet είναι ένα δίκτυο μολυσμένων υπολογιστών). Και για ένα αδύναμο DDoS αρκετοί υπολογιστές αρκούν.
Ddos – η μετάφραση αυτής της συντομογραφίας ακούγεται σαν "κατανεμημένη άρνηση υπηρεσίας". Το σημείο της επίθεσης είναι μια ταυτόχρονη, τεράστια πρόσβαση στον διακομιστή, η οποία πραγματοποιείται από πολλούς υπολογιστές.
Διαβάστε επίσης: Πώς να ξεχωρίσετε τον χρόνο από τον ήλιο
Όπως γνωρίζουμε, οποιοσδήποτε διακομιστής έχει ένα μέγιστο όριο φόρτωσης και αν ξεπεραστεί αυτό το φορτίο, κάτι που κάνει μια επίθεση DDoS, τότε ο διακομιστής «πεθαίνει».
Το πιο ενδιαφέρον είναι ότι οι απλοί χρήστες του δικτύου συμμετέχουν στις επιθέσεις χωρίς να το γνωρίζουν. Και όσο περισσότεροι νέοι χρήστες υπάρχουν στο Διαδίκτυο, τόσο μεγαλύτερος είναι ο στρατός του botnet, και ως αποτέλεσμα, η δύναμη επίθεσης θα αυξάνεται εκθετικά. Αλλά σήμερα, οι χάκερ έχουν ανακατευθύνει τις προσπάθειές τους από επιθέσεις DDoS σε δόλια κόλπα για να κερδίσουν άμεσα χρήματα.
Η ισχύς των επιθέσεων μετριέται από τον όγκο της κίνησης που αποστέλλεται στον διακομιστή ενός ανταγωνιστή ανά δευτερόλεπτο. Οι επιθέσεις με όγκο κίνησης μεγαλύτερο από μερικά GB/sec είναι πολύ δύσκολο να αντιμετωπιστούν. Αυτός ο όγκος κίνησης είναι πολύ δύσκολο να φιλτράρεται, σχεδόν αδύνατο. Τέτοιες ισχυρές επιθέσεις συνήθως δεν διαρκούν πολύ, αλλά ακόμη και μια ημέρα διακοπής λειτουργίας για μια μεγάλη εταιρεία μπορεί να προκαλέσει σοβαρή ζημιά με τη μορφή πτώσης των πωλήσεων και της φήμης.
Παρεμπιπτόντως, δεν επιτίθενται μόνο μεμονωμένοι διακομιστές, αλλά και εθνικά δίκτυα, με αποτέλεσμα να διακόπτεται το δίκτυο σε ολόκληρες περιοχές.
Για την πρόληψη, θα πρέπει να τοποθετήσετε τους ιστότοπούς σας σε διακομιστές που διαθέτουν εντυπωσιακή προσφορά πόρων, ώστε να έχετε χρόνο να αναλάβετε δράση.
Ως απλές μεθόδους κατά των αδύναμων επιθέσεων, μπορούμε να προτείνουμε:
— δώστε αντί για την κύρια σελίδα του ιστότοπου (αν η επίθεση απευθύνεται σε αυτόν) μια σελίδα με ανακατεύθυνση. Δεδομένου ότι το μέγεθός του είναι πολύ μικρότερο, το φορτίο στον διακομιστή θα είναι ασύγκριτα μικρότερο. — εάν ο αριθμός των συνδέσεων από μία IP υπερβαίνει έναν ορισμένο αριθμό, εισάγετέ τον στη μαύρη λίστα.
— να μειώσει τον αριθμό των πελατών (MaxClients) που συνδέονται ταυτόχρονα στον διακομιστή.
— αποκλεισμός της ξένης κυκλοφορίας, καθώς οι επιθέσεις προέρχονται συχνότερα από ασιατικές χώρες.
Πρέπει να έχετε ένα ξεχωριστό ανεξάρτητο κανάλι στον διακομιστή, μέσω του οποίου μπορείτε να έχετε πρόσβαση σε αυτό εάν το κύριο δεν είναι διαθέσιμο. Όλο το λογισμικό διακομιστή πρέπει να ενημερώνεται τακτικά και να εγκατασταθούν όλες οι επερχόμενες ενημερώσεις κώδικα.
Κάποιο είδος επίθεσης DDoS μπορεί να προκληθεί από μηχανές αναζήτησης ή άλλα ρομπότ που ευρετηριάζουν ενεργά τον ιστότοπο. Εάν η μηχανή του ιστότοπου δεν έχει βελτιστοποιηθεί, ένας μεγάλος αριθμός επισκέψεων σελίδας σε σύντομο χρονικό διάστημα θα προκαλέσει υπερβολικό φορτίο στον διακομιστή.
Χακάρισμα του διακομιστή και ανάρτηση συνδέσμων ή ιών
Πολλοί αρχάριοι webmasters ανακαλύπτουν κρυφούς συνδέσμους στους ιστότοπούς τους μόνο όταν αυτοί οι σύνδεσμοι έχουν ήδη οδηγήσει σε αρνητικές συνέπειες - για παράδειγμα, ο ιστότοπος έχει αποκλειστεί από τον οικοδεσπότη, απορρίπτεται από το ευρετήριο της μηχανής αναζήτησης ή ένα παράπονο για τον τομέα. Στη συνέχεια ανακαλύπτεται ότι ο ιστότοπος έχει χακαριστεί και δημοσιεύονται σύνδεσμοι σε αυτόν είτε με σκοπό την προώθηση άλλων πόρων είτε για τη διάδοση ιών και Trojans.
Διαβάστε επίσης: Πώς να αναγνωρίσετε το hacking σε ένα κοινωνικό δίκτυο
Υπάρχει πιθανότητα να παραβιάστηκε ο ίδιος ο διακομιστής φιλοξενίας. Αλλά στις περισσότερες περιπτώσεις, τέτοια άσχημα πράγματα καταλήγουν σε ιστότοπους μέσω τρυπών στις μηχανές του ιστότοπου ή ως αποτέλεσμα της αμέλειας του webmaster κατά την αποθήκευση κωδικών πρόσβασης.
Οι κρυφοί σύνδεσμοι είναι ένας από τους δημοφιλείς λόγους για κυρώσεις στις μηχανές αναζήτησης, ιδίως, μπορεί να υπάρξει σημαντική απαισιοδοξία (πτώση σε όλες τις θέσεις κατά αρκετές εκατοντάδες πόντους), από την οποία θα είναι εξαιρετικά δύσκολο να βγούμε. Εάν δεν έχουν εισαχθεί μόνο σύνδεσμοι, αλλά κωδικός ιού, τότε ο οικοδεσπότης μπορεί απλά να διαγράψει τον ιστότοπο χωρίς προειδοποίηση. Ο πόρος και η διεύθυνση IP του μπορεί επίσης να μπουν στη μαύρη λίστα από την αμφίβολη (αν όχι δόλια) εταιρεία Spamhouse, που σημαίνει το τέλος, αφού είναι σχεδόν αδύνατο να βγεις από εκεί.
Η πρόληψη είναι απλή - παρακολουθήστε τις ενημερώσεις του κινητήρα, εγκαταστήστε όλες τις νέες εκδόσεις και τακτικές προσθήκες που βγαίνουν. Και απλά δεν μπορείτε να αποθηκεύσετε κωδικούς πρόσβασης στον υπολογιστή σας σε καθαρό κείμενο. Το ίδιο ισχύει για όλο το λογισμικό διακομιστή.
Τα προβλέψιμα ονόματα φακέλων και αρχείων υπηρεσίας ενέχουν συγκεκριμένο κίνδυνο. (Προβλεπόμενη θέση πόρων). Με απλή αναζήτηση, ο χάκερ θα καθορίσει την τοποθεσία τους - και θα έχει ένα πλεονέκτημα. Εδώ αξίζει να θυσιάσετε την ευκολία για την ασφάλεια.
SQL injection
Εκτέλεση ερωτήματος SQL από εισβολέα σε διακομιστή κάποιου άλλου, χρησιμοποιώντας τρωτά σημεία του κινητήρα, ατέλειες στον κώδικα του προγράμματος. Η ουσία της τρύπας ασφαλείας είναι ότι ένα αυθαίρετο ερώτημα sql μπορεί να περάσει στην παράμετρο GET. Επομένως, όλες οι παράμετροι συμβολοσειράς πρέπει να έχουν διαφυγή (mysql_real_escape_string) και να περιβάλλονται από εισαγωγικά.
Χρησιμοποιώντας την ένεση, ένας χάκερ μπορεί να εκτελέσει σχεδόν οποιαδήποτε ενέργεια με τη βάση δεδομένων - να τη διαγράψει, να αποκτήσει πρόσβαση σε δεδομένα χρήστη και κωδικούς πρόσβασης κ.λπ.
Η ουσία μιας επίθεσης XSS είναι να εισάγει αυθαίρετο κώδικα σε μια σελίδα που δημιουργείται από ένα σενάριο. Αυτό λειτουργεί εάν η μεταβλητή που μεταβιβάστηκε στη διεύθυνση της σελίδας δεν ελέγχεται για την παρουσία χαρακτήρων όπως εισαγωγικά.
Ο κύριος κίνδυνος είναι η κλοπή των cookies και, κατά συνέπεια, η απόκτηση πρόσβασης σε λογαριασμούς χρηστών. Ένας χάκερ μπορεί επίσης να λάβει πληροφορίες σχετικά με το σύστημα του επισκέπτη, το ιστορικό των τοποθεσιών που επισκέφθηκε κ.λπ. Είναι επίσης δυνατό να εισάγει όχι μόνο ένα σενάριο java, αλλά και έναν σύνδεσμο προς ένα σενάριο php που φιλοξενείται σε διακομιστή τρίτου μέρους, κάτι που είναι πολύ πιο επικίνδυνο.
Κάποτε, αυτή η μέθοδος χρησιμοποιήθηκε στο SEO "μαύρο καπέλο" για να λάβετε δωρεάν συνδέσμους. Αυτό δεν έβλαψε ιδιαίτερα τους ιδιοκτήτες ιστότοπων.
Ανεπιθύμητη αλληλογραφία με διεύθυνση και λεπτομέρειες ιστότοπου
Η μέθοδος είναι, σε γενικές γραμμές, ακίνδυνη, αλλά και εδώ μπαίνει στο παιχνίδι το προαναφερθέν Spamhouse. Με ένα μόνο παράπονο, ο ιστότοπος και η IP του μπορούν να μπουν στη μαύρη λίστα και ο οικοδεσπότης θα αναγκαστεί να αρνηθεί την εξυπηρέτηση. Και η αποστολή πολλών εκατοντάδων χιλιάδων επιστολών με τη διεύθυνση οποιουδήποτε ιστότοπου κοστίζει μια δεκάρα. Φόρουμ, σχόλια, κ.λπ. μπορεί επίσης να είναι ανεπιθύμητα, και θα είναι εξαιρετικά δύσκολο να αποδειχθεί ότι οι ανταγωνιστές το έκαναν αυτό.
